問題
問61
IPA “組織における内部不正防止ガイドライン(第4版)” にも記載されている,内部不正防止の取組として適切なものだけを全て挙げたものはどれか。
- a システム管理者を決めるときには,高い規範意識をもつ者を一人だけ任命し,全ての権限をその管理者に集中させる。
- b 重大な不正を犯した内部不正者に対しては組織としての処罰を検討するとともに,再発防止の措置を実施する。
- c 内部不正対策は経営者の責任であり,経営者は基本となる方針を組織内外に示す“基本方針”を策定し,役職員に周知徹底する。
- a, b
- a, b, c
- a, c
- b, c
[出典:ITパスポート試験 令和元年度 問61]
スポンサーリンク
正解
正解は「エ」です。
解説
本問は、IPA(情報処理推進機構)が示している「組織における内部不正防止ガイドライン(第4版)」に記載されている内容に関する設問です。
正解は「エ」のb, cです。bは、内部不正が発覚した際の処分だけでなく、その後の再発防止策まで組織的に実施すべきことを示しています。これは、同じ問題が起きないよう体制やルールの見直し、教育の強化などを行うことが含まれます。cは、内部不正防止の責任が経営層にあることを明記し、その対策の「基本方針」を策定して全社的に周知徹底するという非常に重要なポイントです。
一方、aは誤りです。権限を一人の管理者に集中させるのはリスクを増大させる行為であり、ガイドラインでは「職務の分掌」や「相互牽制」が強く推奨されています。つまり、業務が適切に分担され、複数の目によるチェックが行われる体制が必要です。
ア(a, b):
aの「権限を一人の管理者に集中させる」という内容は不適切です。これは不正の温床となりうるため、ガイドラインに反します。
イ(a, b, c):
aが含まれているため誤りです。bとcは正しいですが、aの内容がリスクを高めるため不適切です。
ウ(a, c):
こちらもaが含まれており、誤りです。cは正しいですが、aの「権限集中」が問題となります。
難易度
本問は、ガイドラインの基本方針を理解していれば正解にたどり着ける構成になっており、ITパスポート試験におけるセキュリティ分野の標準的な問題です。選択肢の文も比較的簡潔で、知識の有無が明確に問われるため、対策ができていれば正解しやすい問題です。
スポンサーリンク
用語補足
内部不正:
組織内部の人間によって行われる情報漏えいや資産の横領、システムへの不正アクセスなどの行為を指します。従業員の意図的な行動による場合が多く、対策が難しい領域です。
職務の分掌:
一人の人物に全ての権限を集中させず、役割や作業を複数人で分担することにより、不正の抑止とミスの防止を図る仕組みです。チェック体制にも効果があります。
基本方針:
経営者が組織の方針として定める文書で、内部統制や情報セキュリティ、コンプライアンスなどの重要事項を組織内外に向けて明示するものです。
対策
IPAの「内部不正防止ガイドライン」の要点(権限の集中回避、経営層の責任、再発防止策など)を中心に整理して覚えることが重要です。内部不正対策に関する問題は繰り返し出題されるため、原則と具体的な対策例の両方を理解しておくと効果的です。
